Atores de ameaças agora usam anexos do OneNote em e-mails de phishing que infectam vítimas com malware de acesso remoto, que pode ser usado para instalar outros malwares, roubar senhas ou até mesmo carteiras de criptomoedas.
Isso ocorre depois que os invasores distribuem malware em e-mails usando anexos maliciosos do Word e do Excel que iniciam macros para baixar e instalar malware há anos.
No entanto, em julho, a Microsoft finalmente desativou as macros por padrão nos documentos do Office, tornando esse método não confiável para distribuição de malware.
Logo depois, os agentes de ameaças começaram a utilizar novos formatos de arquivo, como imagens ISO e arquivos ZIP protegidos por senha. Esses formatos de arquivo logo se tornaram extremamente comuns, auxiliados por um bug do Windows que permitia que os ISOs contornassem os avisos de segurança e o popular utilitário de arquivamento 7-Zip não propagasse sinalizadores de marca da web para arquivos extraídos de arquivos ZIP.
No entanto, tanto o 7-Zip quanto o Windows corrigiram recentemente esses bugs, fazendo com que o Windows exibisse avisos de segurança assustadores quando um usuário tenta abrir arquivos em arquivos ISO e ZIP baixados.
Para não serem dissuadidos, os agentes de ameaças rapidamente passaram a usar um novo formato de arquivo em seus anexos de spam mal-intencionados (malspam): anexos do Microsoft OneNote.
Abusando de anexos do OneNote
O Microsoft OneNote é um aplicativo de notebook digital para desktop que pode ser baixado gratuitamente e está incluído no Microsoft Office 2019 e no Microsoft 365.
Como o Microsoft OneNote é instalado por padrão em todas as instalações do Microsoft Office/365, mesmo que um usuário do Windows não use o aplicativo, ele ainda estará disponível para abrir o formato de arquivo.
Desde meados de dezembro, os pesquisadores de segurança cibernética alertaram que os agentes de ameaças começaram a distribuir e-mails de spam maliciosos contendo anexos do OneNote .
A partir de amostras encontradas pelo BleepingComputer, esses e-mails malspam fingem ser notificações de remessa da DHL, faturas, formulários de remessa ACH, desenhos mecânicos e documentos de remessa.
Ao contrário do Word e do Excel, o OneNote não oferece suporte a macros, que é como os agentes de ameaças lançavam scripts anteriormente para instalar malware.
Em vez disso, o OneNote permite que os usuários insiram anexos em um NoteBook que, quando clicado duas vezes, iniciará o anexo.
Atores de ameaças estão abusando desse recurso anexando anexos VBS maliciosos que iniciam automaticamente o script quando clicado duas vezes para baixar malware de um site remoto e instalá-lo.
No entanto, os anexos se parecem com o ícone de um arquivo no OneNote, então os agentes da ameaça sobrepõem uma grande barra 'Clique duas vezes para visualizar o arquivo' sobre os anexos do VBS inseridos para ocultá-los.
Ao mover a barra Clique para visualizar o documento para fora do caminho, você pode ver que o anexo malicioso inclui vários anexos. Essa linha de anexos faz com que, se um usuário clicar duas vezes em qualquer lugar da barra, ele clicará duas vezes no anexo para iniciá-lo.
Felizmente, ao iniciar os anexos do OneNote, o programa avisa que isso pode danificar seu computador e seus dados.
Mas, infelizmente, a história nos mostrou que esses tipos de prompts são comumente ignorados e os usuários apenas clicam no botão OK.
.
Clicar no botão OK iniciará o script VBS para baixar e instalar malware. Como você pode ver em um dos arquivos maliciosos do OneNote VBS encontrados pelo BleepingComputer, o script fará o download e executará dois arquivos de um servidor remoto.
O primeiro mostrado abaixo é um documento isca do OneNote que se abre e se parece com o documento que você esperava. No entanto, o arquivo VBS também executará um arquivo de lote malicioso em segundo plano para instalar malware no dispositivo.
Em e-mails malspam vistos pelo BleepingComputer, os arquivos do OneNote instalam trojans de acesso remoto que incluem a funcionalidade de roubo de informações.
O pesquisador de segurança cibernética James confirmou isso, dizendo ao BleepingComputer que os anexos do OneNote que ele analisou instalaram os trojans de acesso remoto AsyncRAT e XWorm.
Proteção contra essas ameaças
Uma vez instalado, esse tipo de malware permite que os invasores acessem remotamente o dispositivo da vítima para roubar arquivos, salvar senhas do navegador, fazer capturas de tela e, em alguns casos, até mesmo gravar vídeos usando webcams.
Atores de ameaças também costumam usar trojans de acesso remoto para roubar carteiras de criptomoedas dos dispositivos das vítimas, tornando essa infecção cara.
A melhor maneira de se proteger de anexos maliciosos é simplesmente não abrir arquivos de pessoas que você não conhece. No entanto, se você abrir um arquivo por engano, não desconsidere os avisos exibidos pelo sistema operacional ou aplicativo.
Se você vir um aviso de que abrir um anexo ou link pode danificar seu computador ou arquivos, simplesmente não pressione OK e feche o aplicativo.
Se você acha que pode ser um e-mail legítimo, compartilhe-o com um administrador de segurança ou do Windows para ajudá-lo a verificar se o arquivo é seguro.
Postar um comentário
Convido você a compartilhar suas impressões e ideias! Sua opinião é extremamente importante para mim e para a comunidade do Seja Hoje Diferente. Deixe seu comentário, feedback ou sugestões logo abaixo no campo de comentários. É através dessa troca que crescemos juntos e transformamos o SHD em um espaço cada vez mais rico e inspirador para todos. Vamos continuar essa conversa? Escreva suas experiências e pensamentos — estarei ansioso para ler e responder!